Microsofts Outlook.com-Hack schlimmer als zugegeben

[English]Der Zugriff unbefugter Dritter auf Microsofts E-Mail-Dienste wie outlook.com oder hotmail.com war tiefergehend, als von Microsoft zuerst zugegeben. So langsam kommen weitere Details ans Tageslicht.


Anzeige

Was Microsoft bisher bekannt gab

Am Sonntag hatte ich im Beitrag Microsoft Mail-Dienste (outlook.com, hotmail.com) gehackt über den Hack berichtet. Microsofts E-Mail-Dienste wurden gehackt, und die Angreifer konnten auf E-Mail-Konten (@msn.com, @hotmail.com, @outlook.com etc.) von Nutzern dieser Dienste zugreifen. Ein Benutzer, der betroffen ist, hat bei reddit.com diesbezüglich einen Thread aufgemacht.

Microsoft hatte den Hack bestätigt (siehe folgendes Bild), wobei es den Verlautbarungen des Unternehmens nach aber so aussah, dass von den Hackern nur Metadaten eingesehen werden konnten..

Info von Microsoft zum Hack
(Zum Vergrößern klicken, Quelle: reddit.com Post)

Sprich: Die Hacker kamen laut Microsoft 'nur' an die E-Mail-Adresse der betroffenen Benutzer, die Ordnernamen im Postfach, Betreffzeilen von E-Mails und die Namen anderer E-Mail-Adressen, mit denen der Benutzer kommuniziert. Das ist schon schlimm genug. Microsoft betonte aber, dass kein Zugriff "auf den Inhalt von E-Mails oder Anhängen", noch – wie es schien – auf Anmeldeinformationen wie Passwörter, möglich gewesen sei.


Anzeige

Microsoft hat TechCrunch bestätigt, dass eine "begrenzte" Anzahl von Nutzern der Microsoft Web-E-Mail-Dienste wie @msn.com und @hotmail.com von einem Hack betroffen waren. Allerdings hatte eine oder eine Gruppe von unbefugten Personen zwischen 1. Januar 2019 und dem 29. März 2019 Zugriff auf das kompromittierte Konto eines Microsoft-Support-Agenten.

Das dicke Ende kommt noch – doch Zugriff auf Mails

Josph Cox von Motherboard hat nun den Artikel Hackers Could Read Your Hotmail, MSN, and Outlook Emails by Abusing Microsoft Support nachgeschoben, der ein deutlich anderes Bild zeichnet. In Kurzform: Es war nicht wie Microsoft behauptete, die Hacker konnten das Microsoft-Kundensupport-Portal über das kompromittierte Konto des Support-Mitarbeiters nutzen, um auf die E-Mails und Kalenderdaten von 'Nicht-Firmenkonten' bei Outlook, MSN und Hotmail lesend zuzugreifen.

Faktisch bedeutet dies, dass alle privaten Mail-Accounts bei den drei genannten E-Mail-Diensten von Microsoft für die Angreifer offen standen. Nur zahlende Geschäftskunden waren von diesem Hack nicht betroffen. Die Quelle hinter dem Hack beschrieb wohl gegenüber Motherboard den Angriff, und ging auch auf die Frage ein, wie er sich durch den Missbrauch des Microsoft-Kundensupporttools Zugang zu den Konten verschaffte.

Am Sonntag wiederholte die Quelle (gegenüber Motherboard) diese Details und lieferte weitere Informationen und Screenshots darüber, welche Art von Zugriff die Hacker auf die Microsoft-E-Mail-Konten [wohl von Motherboard] hatten. Einige der Screenshots, die der Site Motherboard im Zusammenhang mit dem Angriff zur Verfügung gestellt wurden, zeigen ein Panel mit einer Liste von Kontoinformationen, auf die der Hacker zugreifen konnte. Dort waren auch Zugriffe auf den Kalenders und des Geburtsdatums des Kunden zu sehen. Im oberen Teil des Fensters befinden sich verschiedene Abschnitte wie "Profil", "Postfachordnerstatistiken", "Admin Center" und "Anmeldehistorie".

Nachdem Microsoft noch behauptet hatte, dass die Angreifen keinen Zugriff auf die E-Mail-Inhalte hatte, legt die Quelle nach. Die Quelle bestätigte Motherboard, dass die Technik des Angriffs den vollen Zugriff auf E-Mail-Inhalte ermöglicht. Am Sonntag lieferte die Quelle einen weiteren Screenshot einer anderen Seite des Panels, mit dem Label "Email Body" und dem Text einer von der Quelle redigierten E-Mail.

Die Quelle sagte, dass das verwendete Microsoft-Supportkonto einem hochprivilegierten Benutzer gehörte, was bedeutet, dass er wahrscheinlich mehr Zugriff auf Material hat als andere Mitarbeiter. Als Motherboard Microsoft diesen Screenshot präsentierte, bestätigte das Unternehmen, dass es auch Benachrichtigungs-E-Mails über solche Verstöße an einige Benutzer gesendet hatte. Microsoft gibt an, dass dies auf etwa 6 Prozent einer kleinen Anzahl von betroffenen Kunden zutraf. Allerdings hüllt sich das Unternehmen über die absolute Zahl an betroffenen Kunden in Schweigen.

"Wir haben dieses Schema, das eine begrenzte Teilmenge von Verbraucherkonten betraf, angegangen, indem wir die kompromittierten Anmeldeinformationen deaktiviert und den Zugriff der Täter blockiert haben", sagte ein Microsoft-Sprecher gegenüber Motherboard in einer Erklärung.

Martin Geuß hatte das Thema hier angesprochen. Ergänzung: Golem hat einen Artikel mit ausführlichen Informationen veröffentlicht.

Bleiben abschließend die offenen Fragen: Ist das wirklich alles, oder erhalten wir bald die nächste Hiobsbotschaft. Und sind europäische Benutzer betroffen? Falls ja, was besagt dies im Hinblick auf die DSGVO? Das ist ja ein DSGVO-Vorfall, der gegenüber den Behörden anzeigepflichtig ist. Für mich bleibt der Schluss: Wenn Daten online sind, scheint es nur eine Frage der Zeit, bis diese in die Hände von Unbefugten fallen.


Anzeige

Dieser Beitrag wurde unter Outlook.com, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Microsofts Outlook.com-Hack schlimmer als zugegeben

  1. 1ST1 sagt:

    Mal eben Outlook.com Passwort ändern wird von MS empfohlen…

    …puh… da hängt ganz schön was dran, denn es ist nicht nur das Passwort in Outlook, sondern die Live-ID für alles mögliche…

    – der ganze MS-Account mit verknüpften PCs, Smartphones, Familie (verwaltete Kinder-Accounts!) – Achtung, darüber lassen sich auch aktuelle Standorte der Geräte ermitteln, und zwar auf minimal 100 Meter genau!
    – ggf. Schulaccount
    – ggf. Verknüpfung mit Azure/Office 365 Firmen-Account
    – Microsoft-Store, worin Kreditkarteninformationen hinterlegt sein können
    – Windows Passwort, sofern man sich mit der Live-ID anmeldet,
    – OneNote
    – Office 365
    – Windows Mobile Phone, sofern nicht schon abgeschafft
    – Microsoft Launcher für Android
    – Yourphone App für Android
    – Microsoft Identity Manager für Android
    – OneDrive (auch auf älteren PCs, Android, iPhone, iPad, Mac, …)
    – In Outlook/Online verknüpfte Google- und iCloud-Accounts (Termine, Mails, …)
    – usw.

    Passwort ändern zieht hier jede Menge Passwort-Änderungen auf allen möglichen Geräten nach sich… Wenn sich ein Angreifer auf diesem Weg Zugang zu Outlook.com Inhalten verschafft hat, dann hat er betroffene Nutzer komplett am Sack.

    Das ist richtig übel. Und kein Redakteur hat sich bisher diese Folgen bewusst gemacht.

    • Martin Feuerstein sagt:

      Vielen Dank für die Zusammenstellung – auf all die Dienste (vielleicht die Hälfte) wäre ich nicht gekommen.

    • Günter Born sagt:

      Du hast Recht, wenn die Leute bei Win 8/8.1/10 ein neues MS-Konto mit einer E-Mail-Adresse von outlook.com/.de oder hotmail.com/.de bzw. live.com eingerichtet haben. Es geht aber auch mit externen Mail-Konten ein Microsoft-Konto einzurichten (habe ich genutzt). Und Firmen-Konten sollen (sofern da nicht noch was nach kommt) nicht betroffen sein.

      • 1ST1 sagt:

        Ja, aber man kann diese Firmenverknüpfung zumindestens feststellen. An die ganzen privaten Kontakte in der Windows Kontakte-App hab ich auch noch nicht gedacht. Man möchte eigentlich nicht darüber nachdenken, sonst kann einem eigentlich nur schlecht werden.

        Aber wer jetzt mit dem Finger auf MS zeigt, sollte sich fragen, ob das selbe nicht auch bei Google passieren kann, auch dort gibt es so weit verzweigte Verknüpfungen zu allen möglichen Google-Diensten inklusive Mails, Kontakte, Termine, Blogs, Youtube, Android, Appstore mit hinterlegter Kreditkarte, vielleicht noch ne Verbindung zur auf der Arbeit benutzten G-Suite, … auch aus dem Google-Account kann man scheinbar Kinderaccounts steuern – hab ich noch nicht ausprobiert.

        Das ganze Cloud-Gedöns, gerade erleben wir eine weitere Schattenseite davon.

      • Klaus Schüller sagt:

        Wir hatten gestern das Erlebnis zweier Spammails, (mit bösem Attachment) die als Antworten auf echte Mails gemacht waren.
        Die echten Mails stammte aus dem Mailverkehr mit einer IT Firma mit der wir wg. einer SST zu haben. Diese IT-Firma verwendet MS Outlook in der Cloud.
        Damit solle klar sein, dass auch Firmen Konten von Mircrosoft von dem Hack betroffen sind.

    • Bernard sagt:

      Bei Windows Phone reicht E-Mail und Passwort nicht aus, Microsoft WILL auf jeden Fall vor dem einloggen eine E-Mail oder eine SMS versenden.

      Passwort und E-Mail reichen bei Windows Phone nicht aus.

  2. Christian59 sagt:

    …ähem…ist jetzt eine "begrenzte" Anzahl von Usern grösser
    als eine "kleine" Anzahl von Usern (was ja bisher der Standard
    war)?
    Ist natürlich eine rein fiktive Frage in den kleinen Raum – oder
    muss ich jetzt auch sagen in den "begrenzten" Raum?

    Viele Grüsse, aber nicht alle (eine begrenzte Anzahl sozusagen)!
    Christian

    • Al CiD sagt:

      Kommt auf die Relation an.
      100% der MS-Outlook-User ist auch eine begrenzte Anzahl im Vergleich zur digitalen Weltbevölkerung… somit ist die Aussage nicht grundsätzlich falsch.

      ;-)
      .

  3. Roland Moser sagt:

    "…Für mich bleibt der Schluss: Wenn Daten online sind, scheint es nur eine Frage der Zeit, bis diese in die Hände von Unbefugten fallen…"
    Exakt so ist es.

  4. wufuc_MaD sagt:

    was sind denn bitte "befugte" hände?!

    ich bin auch betroffen von diesem hack obwohl ich keine email… jua

    • Günter Born sagt:

      Befugte Hände sind im Auftrag von Microsoft unterwegs, um die Konten einsehen zu können. Nette Menschen sagen 'um Kunden mit verlorenem Konto weiter helfen zu können' – nicht so nette Menschen vermuten, um die NSA und Konsorten zu befriedigen sowie mutmaßlich illegale Inhalte aufzuspüren. Ich erinnere nur daran, dass MS auf E-Mails, OneDrives etc. Zugriff hat und dort auf sexuelle Inhalte gescannt hat – gab vor Jahren einen Artikel Microsoft, OneDrive, Inhaltsscans und 'Porno-Petze' im Blog dazu. Im Beitrag hatte ich seherische Fähigkeiten, als ich schrieb 'wer sagt denn, dass der MS-Account nicht gehackt wird …'. Jetzt wissen wir es: Born ist schuld.

      • 1ST1 sagt:

        MS hat sioch zur DSGVO verpflichtet, ich hoffe mal, dass sie das ernst nehmen und nicht mehr in Mails und OneDrive rumschnüffeln. Wenn das raus käme, dann würde es hoffentlich knallen. dabei hat die EU erfreulicherweise MS schon jetzt auf dem Radar, wegen Win 10 und Office 365 Telemetrie. Ist ja wieder ungeheuerlich was ich da heute las, O365 Klartextpasswörter an MS bevor Benutzer die Datenschutzbestimmungen abgenickt hat.

      • wufuc_MaD sagt:

        ist gebookmarked, das muss ich mir in ruhe nochmal ansehen.

        nette menschen "gaffen" absichtlich nicht, tun demonstrativ das gegenteil und.. ich wollte schon wieder ernst werden.

        aber schuld ist hier nicht die richtige kategorie! es gibt für alles eine verniedlichende erklärung!

  5. RUTZ-AhA sagt:

    Das Ganze entpuppt sich ja zur Katastrophe bei Betroffenen. Mein aufrichtiges Beileid.

    Da auf breiter Front alles Mahnen nicht hilft, Datensparsamkeit zu praktizieren, ist dies nun einmal mehr ein prägnanter Vorfall für den Grund, sich zurück zu halten.

    Klar kann alles und jedes gehackt werden, schlimm genug.

    Aus diesem Grund ist mein Bemühen schon seit vielen Jahren darauf ausgelegt, möglichst viel von einander getrennt zu halten.

    Darum habe ich eine eigene Domain bei Webmail one.com seit 10 Jahren. Bis jetzt ist mir kein einziger negativer Vorfall bekannt.

  6. Robert sagt:

    Eine ähnliche Salami-Taktik wie von Facebook: Anfangs nur ein paar, nach ein paar Tagen ein paar mehr und plötzlich waren sie im dreistelligen Mio-Bereich. Weckt zumindest bei mir kein Vertrauen.

    "Heim-Hosten" scheint die einzig sinnvolle Option für wirklich eigene Daten.

    • RUTZ-AhA sagt:

      "Heim-Hosten" scheint die einzig sinnvolle Option für wirklich eigene Daten."

      Die Lösung ist auch nicht so trivial.
      Du brauchst Software für deinen eigenen Server, da geht es schon wieder los. Sicherheitslücken werden ja nicht im Voraus bekannt.
      Und fehlerhaft konfiguriert ist dein Server auch angreifbar.

      Auch unter Linux kann es dich erwischen.

      • Gaga sagt:

        "Heim-Hosten" geht schon und ist gar nicht sooo schwer.
        Ja es kostet Geld (NAS, Router und Dienstleistung), ist meiner Meinung nach aber sehr gut angelegt!

        1. eine eigene Domain.
        Kosten: rund 11€/Jahr

        2. Eine feste IP für eine beliebigen Anschluss. Hier hat sich für uns Portunity (keine Werbung(!), kann auch ein beliebig anderer Anbieter sein der per VPN eine IP bereit stellt) sehr bewährt. Das System "VPN-Tunnel" läuft bei uns seit Jahren ohne nennenswerte Probleme oder Ausfälle.
        Kosten: rund 51€/Jahr.

        3. Eine sichere und zuverlässige VPN Verbindung über den vorhandenen DSL Anschluss. Wir nutzen dafür einen einfachen Cisco Firewall Router der für rund 80€ zu haben ist.

        4. Eine Synology NAS (oder ein beliebiger anderer Hersteller mit entsprechenden Bordmitteln).
        Das Gerät (ich habe nur Erfahrung mit Synology) bringt alles nötige mit: CAL- und CARDDAV, Webserver, E-Mail (IMAP, POP) und VPN-Server, Virenscanner, Zertifikat-Schnittstelle, Firewall, Backup-Server usw…

        5. A- und MX-Record und ggf. Subdomain beim Dienstleister konfigurieren (das geht bei Portunitiy z.B. direkt). Hier hat der Dienstleister großes Vertrauen dem Kunden gegenüber und lässt diese Einstellungen alle im "selfmade" zu).

        6. Backup-MX dazu buchen für den Fall, dass der eigene E-Mail Server (NAS) mal nicht erreichbar ist.
        Kosten: 10€/Jahr für 10 Domains.

        Wir arbeiten in der Familie schon sein vielen Jahren so und fahren bis heute sehr gut damit.

        Gruß
        Gaga

  7. Tanja sagt:

    Ganz blöde Geschichte und leider bekleckert man sich bei MS auch nicht gerade mit Ruhm durch transparente Infos & verlässliche Aufklärung.

    Neben den Passwörtern sollten User IMO auch durchaus in Betracht ziehen, dass alle anderen Sicherheitsinfos im Account ebenfalls kompromittieren sind.

    Insbesondere zum Zweck der Verifikation bzw. Account-Recovery hat man ja diverse zusätzliche Infos eingetragen / aktiviert: Geheime Frage(n), Wiederherstellungscodes, vertrauenswürdige Geräte und mitunter auch einen 2FA-Token. Konnte der Super-Account ja vielleicht auch alles einsehen / abgreifen. Und es schadet sicherlich auch nicht hinterlegte Telefonnummern oder Mail-Adressen noch zu überprüfen. Ggf. wurde da ja auch was geändert.

    • 1ST1 sagt:

      Die dort gestellte Frage, warum Supportmitarbeiter Zugang zu Mails der Kunden haben müssen, ist in der Tat richtig. Die weitere wichtige Frage ist, wieso solch ein brisanter Supportaccount von Außen genutzt werden kann.

    • wufuc_MaD sagt:

      danke! wenigstens ein paar haben den überblick!..

      manchmal weiß ich nicht wie ich manches noch kommentieren soll. als wär nie irgendwas gewesen..

      ^^_

  8. Gepp sagt:

    Heute morgen (3.Juni) erhielten eine Reihe Leute über die Hotmail- Adresse meines Bekannten die Bitte ihm aus einer finanziellen Klemme zu helfen. Dieser Datenhack wirkt also immer noch fort. Hier also nochmal eine Warnung an alle Altkunden von Hotmail.

  9. asfasdf sagt:

    Die werden wohl regelmässig, mehrmals im Jahr gehackt?

    Auf einmal prasseln bei mir die Spam emails nur so rein.

    Das kann nur nach einem Hack sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.